感染鏈圖示 | 圖片來源:Seqrite實驗室APT研究團隊
Seqrite實驗室APT研究團隊近日發布了一份深度分析報告,披露了一個自2025年4月起活躍的新型威脅組織"嘈雜熊"(Noisy Bear)。該組織主要針對哈薩克斯坦石油天然氣行業,攻擊手法結合了魚叉式釣魚、PowerShell加載器和DLL植入技術,并精心制作了偽裝成哈薩克斯坦國家石油天然氣公司(KazMunaiGas,簡稱KMG)內部通訊的誘餌文檔。
攻擊手法分析
Seqrite報告指出:"該威脅組織主要針對中亞地區的實體機構,特別是哈薩克斯坦的石油天然氣或能源部門。攻擊活動針對KMG員工,通過發送偽造的KMG IT部門文件來模仿官方內部通訊,主題涉及政策更新、內部認證程序和薪資調整等內容。"
"嘈雜熊"組織利用被入侵的KMG企業郵箱發送魚叉式釣魚郵件。郵件主題通常設置為"緊急!請查閱更新后的薪資表"等具有緊迫性的內容,并附有包含惡意快捷方式文件(График зарплат.lnk)的ZIP壓縮包(График.zip)。
攻擊流程詳解
郵件內容精心設計成人力資源部門的內部通知格式,特別強調截止日期為2025年5月15日以制造緊迫感。Seqrite指出:"郵件主要內容是關于工作安排、薪資和激勵政策相關信息的更新,要求收件人進行查閱。"
當受害者打開ZIP文件后,會看到一個帶有KMG標志的雙語(俄語和哈薩克語)誘餌PDF文件。文件中指示受害者解壓另一個ZIP文件(KazMunayGaz_Viewer.zip)并運行其中的可執行程序,同時忽略彈出的控制臺窗口。
報告解釋道:"誘餌文檔還特別提醒用戶等待控制臺窗口出現,并明確建議不要關閉或與之交互,以此降低目標的懷疑。"
四階段攻擊技術鏈
Seqrite的技術分析將整個攻擊過程分解為四個階段:
-
初始階段 - 惡意快捷方式:惡意快捷方式文件利用PowerShell的LOLBins功能從hxxps://77.239.125.41:8443下載批處理腳本(123.bat)。
-
第一階段 - 批處理腳本:123.bat和it.bat等腳本下載PowerShell加載器(support.ps1, a.ps1),這些加載器被命名為DOWNSHELL。
-
第二階段 - DOWNSHELL加載器:這些PowerShell腳本會禁用AMSI掃描功能,并使用從PowerSploit復制的技術將Meterpreter shellcode注入explorer.exe進程。Seqrite解釋稱:"通過修改這個標志位,可以讓PowerShell認為AMSI初始化失敗,從而使DOWNSHELL家族的其他惡意腳本能夠繞過掃描并順利執行。"
-
最終階段 - DLL植入:一個64位DLL使用信號量防止多實例運行,然后劫持rundll32.exe的線程上下文來執行反向shell。
基礎設施與歸屬分析
"嘈雜熊"組織的攻擊載荷和工具(包括Metasploit和PowerSploit等開源滲透框架)托管在俄羅斯主機提供商Aeza Group LLC的基礎設施上,該公司因協助網絡犯罪而受到制裁。
Seqrite還發現了一些可疑域名,這些域名托管著面向俄羅斯用戶的健康和健身主題網站,很可能被用作基礎設施的偽裝。
雖然Seqrite在歸屬問題上持謹慎態度,但報告指出了與俄羅斯運營者的強烈關聯:
- 腳本中包含俄語注釋
- 使用受制裁的俄羅斯主機提供商
- 工具和基礎設施與之前俄羅斯相關的APT活動存在重疊
正如報告所述:"我們認為該威脅組織很可能源自俄羅斯。""嘈雜熊"代表了一場針對哈薩克斯坦關鍵能源基礎設施的有針對性的APT活動,結合了社會工程學、開源攻擊工具和多層感染鏈。
)
)
)
)
string類的模擬實現)
